(网经社讯)2020年10月21日,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见,这标志着我国个人信息保护法的立法,迈出了具有决定性意义的一步,将深刻并长远地影响我国数字经济和数字社会的未来发展。
值此立法的关键时刻,对外经济贸易大学数字经济与法律创新研究中心作为受邀提供草案意见的单位,于2020年11月15日召开“《个人信息保护法(草案)》深度学习与建议研讨会”,邀请来自立法部门、监管机构、科研单位以及产业界的 专家和代表,对草案八章70条开展逐条、逐句的研读,尽可能汇聚多维度、多立场的观点意见,尽可能汇聚多维度、多立场的观点意见,为《个人信息保护法》的 出台建言献策。与会人员既有中央财经大学法学院教授邢会强、中国人民大学法学院副教授暨未来法治研究院副院长丁晓东、中国法学会法治研究所副研究员刘金 瑞、浙江大学互联网金融研究院研究人员潘政、中国信通院互联网法律研究中心主任方禹、中国信通院安全研究所工程师葛鑫以及对外经贸法学院张欣副 教授等专家学者,也有欧盟商会网络安全子工作组主席兼SAP政策研究总监宫仁海、Zoom中国区首席代表顾文杰、微软中国公共及法律事务总监黄丽丹、蚂蚁 集团隐私保护研究中心主任李海英、京东法律研究院总监李丽、亚马逊AWS中国公共政策总监李国俊、阿里巴巴政策法规研究室高级专家刘明、西云数据法律顾问陈巍、科文顿·柏灵律师事务所合伙人罗嫣、安理律师事务所高级合伙人王新锐等实务部门代表。全国人大法工委经济法室副处长林一英也莅临会议,听取各方意见。
外经贸大学数字经济与法律创新研究中心执行主任许可作为本次会议的主持人首先介绍了本次研讨会的背景和目的,旨在总结和梳理学界关于《个人信息保护法(草案)》的意见和观点,为全国人大法工委的后续立法提供参考。随后简单介绍了与会嘉宾和研讨会议程,本次会议主要按照草案条款逐章展开讨论,鼓励各位集思广益,踊跃发言。
对外经济贸易大学法学院教授梅夏英随 后致辞,在强调了本次草案的重要意义以及本次会议的服务目的后,提出了自己对于草案的三点看法。其一,个保法草案的一大特点在于兼顾了个人权利和国家保 护,个人权利的赋予应当仅仅是为了降低个人信息被滥用的风险,不应过度放大,而国家在个人信息方面的公共安全责任应当加强。其二,征询同意属于基础性规 则,但草案中的同意规则设置过多,平台处理时、交付第三方时、匿名化后再处理时诸多环节均需个人同意,导致实务操作性存疑。其三,个保法草案未进行适当的 信息分类分级,仅仅区分出敏感信息难以满足实务需要,比如公开信息和非公开信息、成年人信息和未成人信息、人脸指纹等直接与个人相关的信息和间接有关的个 人信息、企业收集的信息和国家收集的信息等都存在明显不同。
第一章 总则
关于第二条本法对象,专家提出提出第二条中的规制对象存在重复,因为自然人里只有独立处理信息的专业人士才应受到规制。倘若个保法管辖平等民事主体之间的信息纠纷,要求企业承担大量的通知删除义务,无疑负担过重。
关于第三条适用范围,专家提出草案第三条第二款使用了“分析、评估”,而GDPR中使用的是“监控”的概念,希望后续能够进一步明确用语含义。另有学者则提出第三条第一款和第二款有过分扩大之嫌,具体指明目的性会更为适当,否则连无意浏览也会被纳入个保法的管辖范围。
关于第四条个人信息的界定, 有学者首先指明草案重点就是要解决定位问题,需要立足于个保法的架构,从定义和规则相挂钩的角度去理解,严格的规则辅之以狭窄的定义,宽松的定义适用于宽 松的规则。通过对比现行的网安法和个保法自身演变过程,个人被识别的应当是身份而非自然人,建议个保法草案第四条应当添加“身份”二字。并且专家更倾向个 保法属于行政法保护,目的在于解决个人信息滥用和泄露问题,同时不能阻碍信息的正常使用。基于社会背景的变迁,个人信息保护是法律赋予的权利而非天然权 利,保护的对象是自然人在社会活动中的角色,重点在于其身份。其次,学者分析了草案第四条的立法方式。本次草案未通过列举方式规定适用对象,一种解释是实 际生活中很清楚,无需列举,另一种解释是争议太大了。比如两高和司法解释都 肯定了电子邮箱为个人信息,而12年香港判例却认为不能从邮箱识别出个人身份。目前的草案采用了单独或结合的识别说,对于单独不能识别而结合才能识别的信 息是不是个人信息,学者持否定观点,并且指出简单的信息编纂不应当认定为个人信息,关键在于理解最终目的是防止信息滥用和泄露还是加强国家管制。参考韩国、法国以及我国的网安法都规定了“简单结合能够识别”,简单的信息编纂不适宜认定为个人信息。并且草案第四条后半款规定了匿名化后不是个人信息,比照匿名化和信息编纂的关系,也可以参考匿名化的分析思路。
有专家主要针对IP地址是否属于个人信息的问题发表了看法。即使用户关闭了地理位置授权,互联网公司也能利用IP区段,判断地理位置进行个性化推荐,这 是否属于使用个人信息。立法上解决这个问题有三种手段,第一种是在法律规定中特别说明,第二种是通过模糊的指引性规定或者保持沉默,交给未来的实践和立法 解决。专家指出这个问题的难点在于识别的判定,谁来识别,到什么程度算识别,有学者提出将可识别作为单独的部分进行规制,对于可识别的权利义务,在风险防 范方面可以适用,但适用于查询权这种情形反倒招致危险,这部分还需要大家进一步讨论。
诸位学者继续针对这一问题讨论,认为应以业内客观 水平能够识别作为标准,并结合不同的使用场景进行判定,仅掌握IP地址区段而无法关联到具体对象不构成个人信息,在互联网实名制的背景下,互联网企业利用 IP地址对应特定用户并进行个性化广告推送等行为则属于个人信息的使用。
关于第六条处理个人信息的目的,有专家认为第六条“不得从事与处理目的无关”过于严格,会阻碍新技术发展。比如机器学习和大数据依赖信息收集进行算法训练,收集时往往不确定使用的目的并且技术上也很难取得知情同意,建议放宽规定以适应技术发展。
关于第八条个人信息处理的要求,专家认为个保法没必要规定“所处理的个人信息应当准确,并及时更新”,信息服务质量应由市场规制而非通过个保法规定。有学者提出第八条主要针对征信行业。另有专家也指出OECD也规定了准确性原则,于各方均有利,并且也映衬了后面规定的更正权。
第二章 个人信息处理规则
关于第十三条个人信息处理的条件,有学者认为个保法规定的合法利益相较于网安法具有进步性,在为企业提供方便之余也容易发生信用卡欺诈此类滥用现象,需要进一步限制。
专家对合法利益也持较为慎重的考虑,例外设置过多会架空同意规则,像第二款“订立履行合同所必需”可以纳入防欺诈的审核,或者需要后续标准再明确规定防欺诈。
有学者也认为合法利益相较于正当利益的涵盖范围太广,同意以上提出的合同涵盖广泛的思路。并提出有必要赋予科学研究或历史性存档以合法性,有专家也指出一带一路法律规定中也包括了个人信息科学研究方面的使用。
另有专家也提出进一步明确其中的模糊概念,以便企业更好的遵循,并指出了权利不平等的劳务供应合同、ICT产业的B2B大批量交易业务、公司内部管理等 严重依赖个人信息的例外情况。并且第13条第二款的合同订立履行仅适用于上游,中下游客户难以知晓,可以增加适当性规定使之更具操作性。
关于第十四条的同意,有专家先提出了自己的两个问题,第十四条中的单独同意如何解释,单独同意是否可以采用默示方式。有学者提出因为信息处理变更而重新取得同意,需要考察此种变更是否具有实质性,倘若与原来的处理目的可兼容,未必需要重新向个人取得同意。
有专家首先提出将同意表述为意思表示不妥,此处撤回并不能发生民法中撤回即撤销的效果,建议删除意思表示四个字,并且在第16条规定撤回时应该明确意思 表示的撤回不影响撤回前基于该同意所进行的处理的合法性。其次,应当在第14条明确界定单独同意,比如规定为具体的同意或者叫明确具体同意,或者进一步规 定为一个或多个目的处理个人信息的时候,应当逐一取得个人明确同意。在单独同意解释不明确的情况下,后续法条频繁出现了单独同意该用语,直接规定依据本法 第14条或者依据本法规定的同意取得个人同意即可。
还有学者提出了自动化驾驶情景下如何适用个保法的问题,自动化驾驶的汽车会自动收集周围车辆、行人的信息,根据道路情况来做出自动化决策。但是这种情况是收集合同外第三方的信息,不能援引关于订立履行合同作为正当事由。对此,有专家提出可以适用第四条规定。
关于第十六条、第十七条的撤回, 专家提出这是对《网安法》重大的变化,之前的删除根据违反法律规定或者违反约定才可以删除,规定删除权后考虑撤回同意的后果是很有价值。有学者同意之前的 观点,认为撤回同意应当增加不溯及既往的规定。有专家还提出当处理使用信息存在多个合法性基础时,如何处理删除权的问题,比如既取得了同意有属于订立履行 合同所必需,反观GDPR只能享有一个合法性基础。后面讨论中各位表示立法者无法考虑过细,属于立法者意味深长的沉默。
关于第十八条的告知,专家认为第19条例外中“不需要告知”应当加上“法律、行政法规规定”的前提。各位讨论后认为,除了第19条规定的例外,其他所有情形都应当告知,包括具备第13条其他合法性基础的情形,甚至包括公开信息的收集,合理性有待探讨。
关于二十一条到第二十四涉及到第三方的规定,专家认为草案的信息保护过度,在第一层取得同意后进行匿名化流通即可,繁杂的同意制度会限制平台的发展。而且通过层层的告知同意来转嫁风险根本难以实现,个人的决定权本就是有限的,草案中规定的权利多而无用,纸上谈兵难以实现。
有学者同意以上观点,在跨国公司实际操作场景当中,普遍存在上下游企业之间需要转化数据进行业务再分包的情况,如果公司必须取得个人的明示同意,合规成 本过高。主张可以参考GDPR第28条第2款的反向同意,反对者在规定时间内提出,以此最大程度的保障制度实施。有专家从云服务提供商的角度补充,在分包 必须的大背景下,同意制度应解释为大体的同意,根据GDPR可以通过定期会上传名单来委托给其它方。
对于第22条第2款,各位都认可将 个人信息返还个人信息处理者或者删除的规定不适当,有学者指出返还还是局限于物的思维,有专家认为交给当事人自行约定,另有专家认为这剥夺了平台基本的数 据统计功能,保留不用便可防止滥用,不必删除抹去。有学者认为第23条的合并分立应加上破产情形,以应对破产后个人信息的大量处理工作。还有学者在此基础 上提出要考虑破产后信息归属问题。此外,有专家针对第24条提出了几点建议:首先,第24条以及很多条款都基于单独同意,应当考虑到13条的合法权益,增 加例外情况。其次,因为匿名化的信息不可能再被是被,建议第二款中的“匿名化”改为“去标识化”。
关于第二十五条和第六十七条的自动化决策, 专家提出几点看法:其一,提出透明度更多是宣誓性作用,在机器深度学习、涉及商业秘密等情形下很难实施,确定透明度的边界还是个问题。其二,建议删除“保 证处理结果的公平合理”中的“结果”二字,主流看法认为自动化个人信息处理不仅要保证结果的公平合理,也要保证程序公平合理。其三,“重大影响”很难界 定,我国采用主观判断方法,个人认为有重大影响便可行使说明权,会给企业带来沉重负担。并且这里的说明对象也需要进一步解释,只需要对结果进行说明还是需 要对整个系统设置等更多的内容进行说明。其四,商业实践中采用的手段不限于自动化决策,还包括非自动化决策,这里限制了个人信息权利的范围。最后,认为第 67条对于自动化决策的定义过窄,实际上自动化决策不仅仅包括对个人的经济、健康信息状况的评估,比如自动驾驶便不涉及到评估行为,而第25条对于自动化 决策的规制又较为严格,这在实践中会存在一些问题。
有专家提出并非所有的人工智能技术都是可以解释的人工智能,这种法律愿景非常难实 现。对于某些业务,自动化决策是个人信息处理者提供服务类型的必要条件,建议参考GDPR第22条增加三个例外,即履行合同所必需、法律和相关法规授权、 数据主体明示同意。并且专家提出如果自动化决策涉及到个人敏感信息,在自动化决策前是否需要清晰说明所用到相关信息,或者需要单独同意、明示同意。
关于第二十七条安装设备, 有专家建议将第27条的“为了公共安全”调整到句首,表述更加明确。因为现实生活中很多并不是为了公共安全,比如刷脸门禁是为了身份识别的便利性而安装信 息设备,一律禁止与立法目的也有所抵触。还有学者指出该条款中“图像识别”涵盖太宽泛,应该限制在指纹、虹膜此类生物识别,排除刷身份证、消费卡此种生活 情形。现在身份识别技术用的过多,应当规定安装此类信息设备进行必要性论证,在没有替代性技术的情况下才能使用。其他学者也强调该条目的在于防止核验、一 对多、监控等行为,已经收集信息进行身份核对的不应纳入其中。
关于第二十八条公开信息,有专家对此 条规定持肯定态度,已经公开的信息无需再征询个人同意,对于公开信息可以参考侵权法的通知删除制度,进行弱保护。各位就第28条的“公开”概念展开了讨 论,提出了一些观点:线下公开场所被拍摄放到网上可以适用侵权法、线下公开的隐私期望比较高、线上公开由于可以回看和传播范围大的特点要格外保护等。有学 者提出在自动驾驶此种情形下,难以告知,建议采用侵权规则,规定超出相关合理范围使用信息不应当侵害自然人相关个人信息权利。还有学者指出第28条的“重 大信息”应当进一步明确,否则会给技术发展带来不必要的负担。并且第二款挣得他人同意,可以参考GDPR第21条的2、3、5条款,个人享有拒绝权,公开 后相关当事人可以拒绝,如此实操效果会更好。有学者认为第25条和第28条中“重大影响”改成“对个人权益造成重大影响”更为清楚。
关于第二十九条到第三十二条的敏感信息, 多位学者认为我国在对敏感信息的定义中增加了“导致个人的人身财产安全受到严重威胁”,但问题不在于信息本身,而在于信息使用的方式。草案对于敏感信息的 定义采用了抽象和具体相结合的方法,对此各位学者展开了讨论,有专家认为个人敏感信息的范围划定的越小越便于操作,可以参考GDPR第9条的穷举法,抽象 和具体兼顾在操作上很困难。有的学者则认为GDPR对同样的概念也存在不同的解释,法律本身定义清晰很难,立法上保持模糊反倒留出更多解释空间。重点还是 要看随着技术发展,在个人信息广泛使用的未来,如何有机衔接抽象和具体两种定义方式。其他学者随后对立法模糊表示理解,认为敏感信息条款的最大问题在于如 何处理与第13条合法性基础的关系。
关于第三十三条到第三十七条的国家机关,各位学者对国家机关处理个人信息的规定持基本认同的态度。有专家指出第35条的取得同意条款与第13条法定职责无需同意有冲突,需要解释调和。还有专家认为本章主体范围过窄,建议增加为国家机关、承担行政职能的法定机构及其工作人员,与民法典第1039条保持一致。
第三章 信息跨境提供的规则
关于第三十八条和第三十九条信息跨境的条件, 专家认为第38条相较网安法有了很大的进步,但认证机制和以后企业主要依赖的合同如何实施还有待细化,此外,专家建议可以删去“本地存储”,首先达到多大 的信息量要求存储难以明确,其次,对于数据支付、涉及未成年等敏感重要信息要求本地存储尚可以理解,要求一般个人信息也要求本地存储不太适当,其他国家也 未有此类规定。还有学者认为跨境信息问题上设置个人单独同意规则不太合适,信息能否出境属于国家公共安全的问题并非纯粹涉及个人利益,不宜交由个人单独决 定。另有学者指出第39条的单独同意未必是基于同意,比如基于雇佣合同的合法性利益便无需个人同意,并且就算符合第38条的评估等条件,也要保留个人的反 对权,使其个人信息不出境。其他专家提出个人信息保护认证缺乏执法权力,具有很大的实践困难。参考欧盟新版的SCC,要考虑到跨境情况下的欧盟认定标准。
有专家认为第38条和第39条应当结合起来解读,只有当无法适用第38条时,才适用第39条作为保障,如此便开辟出一条无需征求个人同意的绿色通道,比 如说跨国公司集团内部的个人信息,包括数据转移、劳动雇佣的记录、人事关系等。还有专家建议删除第39条,规定只要是个人信息处理者向境外提供个人信息都 需要征得个人同意,在之前谈到的机器学习、人工智能、自动驾驶等场景下,尤其涉及到跨国的全球化运营时,会对效率、成本造成极大的负担。
有学者提出要思考个保法的定位,个保法应当立足于保护个人权益,鼓励个人信息的有序流动,涉及到国家利益的部分应当由数安法来规制。对于企业俩说,需要 通过第38条规定的评估或认证,如果选择第三款的合同也会担心不够充分。在数字经济全球竞争的格局下,国内企业走出去是一个双向的过程,既要流出也要流 入,持有大国心态就不能过于守势。建议在38条增加一款,明确规定个人信息处理者处于业务等目的,需要向中华人民共和国境外提供信息的,应当确保达到本法 对自然人的保护程度,参考GDPR的数据保护洼地流动思路,将安全问题放到数安法中规定,达到网信部门规定数量或者其它标准的数据,不再称之为个人信息而 是重要数据。有专家对以上思路表示肯定,建议将本地存储的规定放到网安法中,同时具体个保法第38条的细则来指导安全评估,在个保法中规定本地存储会产生 一种封闭式的观感。
关于第四十条关键信息基础设施,有专家提出关键信息基础设施的认定需要进一步澄 清,仅仅是在关键信息基础设施上面运行个人数据时的出境会受到管制,而其它的正常业务所处理的个人信息不受其管制,还是不论运营何种数据,不论在关键信息 基础设施上还是之外都要受出境的管制。有学者认为第40条要求将个人信息存储在中国境内,不利于我国数字经济发展,需要立法智慧和技术将其限定在最小的范 围内。基于草案规定,跨国公司在中国进行投资时,为了将个人信息存储在中国境内,不得不多部署孤立的IT架构,如此高额的成本会阻碍跨境投资。并且将个人 信息存储在中国境内的严格要求往往与国家安全相挂钩,要注意个保法和网安法、数安法的定位不同。
关于第四十一条司法行政协助,学者提出第41条的行政执法协助范围非常广,还涉及到公司内部调查,而且各个国家法律不一样,需要进一步协调和明确。
有的学者对本章持积极态度,认为个保法在信息跨境方面的灵活性很高。首先,草案规定达到一定数量才需要评估,而且安全评估是基于风险考虑,并非行政许可 意义上的严格评估,不要求一事一议或者不现实的事先批准。其次,在评估认证之外还设有合同渠道,后续网信办会出台具体细则,相信对于集团内部信息流动的特 殊情况也有有所调整。
第四章 个人在个人信息处理活动中的权利
关于第四十四条知情决定权,有专家反对第44条的决定权表述,容易和国外的个人信息自决权混淆,而且个人信息涉及多重利益,个人根本无法决定。
关于第四十五条的查询复制权,有专家提出第45条的查询复制权已有纠纷显现,信息的范围如何确定、查询费用如何分担等,可以参考行政法的信息公开和公司法的股东查询权的有关规定。有专家认为为了平衡两端利益,查询复制权应限制在合理范围内,超出合理范围应当支付对价。
有专家在发表对该条的意见时,首先提出删除权要考虑到现在的区块链技术,区块链的核心就是在于建立信任机制,让信息不能够随意篡改或者删除,与草案的删 除权有所冲突。在能够删除情形下,比如用户运用最普遍的联盟链,删除成本非常之高。并且删除区块任意一条信息会打乱整个区块,甚至干扰到非个人信息。其 次,如果法律和行政法规保存期没有届满,主体又请求删除,就会造成权利冲突,有的人认为这里可以理解为删除义务的豁免,先停止处理即可。建议表述为停止公 开或者再加以利用,更为准确。最后需要进一步明确删除和更正的含义。删除包括物理上直接清除数据、直接加密格式化、覆盖掉原数据、设置加密访问权限等,甚 至匿名化也符合欧盟的删除要求。而更正包括把原来信息删掉发布新的信息、发布公示说明信息错误、直接发布新的信息而不处理原来信息等。有专家提出信息和数 据属于内容和形式的关系,只要达到不侵犯个人的人格的权利便为更正,可以设置访问权限,切断个人信息与个人的联系,而不用把整个数据删除,这也减轻了企业 的压力。
关于第四十七条的删除情形,有学者首先赞同删除应慎重,参考GDPR,违法的违约应当删 除,但仅属于违约纠纷或者是法律未确定性质还是不要删除为妥。建议第47条第三款加上“基于同意”的前置条件,即基于同意则个人撤回同意,第47条第四款 删除“违反约定”,保留“违反法律、行政法规”。其次,可以设立删除的例外情况或为信息处理者保留信息建立抗辩权,以缓解企业删除信息后的高额损失。最后 提出,在特定场景下,可以采用匿名化的手段实现删除的效果。有专家提出第47条一个语词上的问题,第一款和第二款属于信息处理者主动删除,第三款和第四款 属于个人请求删除,倘弱目的实现或期限届满但个人未提出请求时,信息处理者是可以不主动删除。
第五章 个人信息处理者的义务
关于第五十条信息处理者的义务,有学者建议第50条可以参考GDPR增加中小企业的豁免,比如网上电商或者小微企业获取了很多个人信息,但要求其严格履行管理职责不现实,在整个第5章都可以规定此种豁免。
关于第五十一条个人信息保护负责人, 专家就第51条达到规定的数量要指定信息保护负责人,提问这个人的作用到底是什么,仅仅为网信办提供联系吗,外企能否在境外设置联系人。还有学者认为个人 信息保护负责人是为了尽责,对外公开你的姓名联系方式,包括起到联络作用。有专家认为负责人应该设置在境内,便于网信办联络,内部权限再具体沟通。有学者 建议51条第二款改为公开机构的联系方式,因为个人流动是很快的,具有较大的不确定性。
关于第五十四条风险评估, 专家提出第54条需要评估范围太大,偶尔的情况也需要评估,负担未免太重,建议参考GDPR限定“大规模”,比如大规模处理影响个人信息或者是利用个人信 息进行大规模的自动化决策,或者说委托个人信息处理向无关第三方提供个人信息或者大规模发布个人信息。有学者建议在54条第二款利用个人信息进行自动化决 策,加上“对个人产生影响”这一限定条件。有学者表示赞同,比如内部决策便不需要评估。还有学者则认为评估了才知道是否有影响,这里EIP评估应当灵活解 释,如果内部已经做过评估对个人没影响便可。
关于第五十五条个人信息泄露,专家建议删除“个人信息 泄露的原因”,在实践操作中找出问题可能要花费很长时间,信息泄露原因当然需要汇报,但是可以放宽到之后汇报。有专家也提出可以改成立即采取措施和及时通 知。还有学者指出网安法中就删去了“及时”,这是考虑到泄露后没有相应补救措施,告知范围越大反而安全越差。程序上,该位学者提出通知时间上应该区分规定 向政府汇报和通知个人。有专家认为影响比较小的泄露也需要通知监管部门,过分严格,另外如果影响比较大,但企业及时补救且影响较小,可以不需要通知监管部 门。还有专家建议明知滥用也应当负有告知义务。
第六章 履行个人信息保护职责的部门
关于第五十六条执法机构, 有学者指出县级执法能力不高,可以规定注册地所在地将执法权限提升到省级。专家讨论又提出,根据草案全中国所有的县级以上机关都有执法权,但理论上只有国 家一级的机关最多到省一级在执法上具有有一定的专业性。大量的县级部门的执法能力薄弱,这样会造成执法不统一。欧盟GDPR选择了一站式执法,中国怎么考 虑一站式执法以及多个机构的一致性执法,还是需要讨论。
有专家提出本章的核心在于所规定的权利义务是不是可以直接进行起诉。GDPR认 为信息纠纷具有专业性,要先去监管机构提起申诉,不满去法院提起针对监管机构的复议或者司法审查。这方面我国更像CCPA,个人可以向加州总检察长提出诉 讼,加州总检察长有权罚款,还可以提起公益诉讼。我们立法体例上来说采取GDPR的方式,但是从执法上采取CCPA的模式,具体是否直接起诉,还是需要先 去网信办投诉尚不可知。各位学者还讨论了针对查询复制删除更正而产生的纠纷如何处理,这对于法院和行政部门都是难题。
关于第五十九条执法措施, 有学者提出涉及到国家安全便交由公法规制,个保法本质在于保护私权,但第59条有关部门采取措施的权力太大,询问调查查询复制会破坏信息处理者的保密义 务,并且封存扣押此类手段过于严格,会对企业造成严重的损害。并且从国际视角来看,欧洲很难认同我国这种监管机关直接介入的执法方式。所以建议设定启动阀 门或者通过第三方授权机制或者评审机制才能采取此种严厉措施,如果法院能充当第三方还能保留当事人司法救济的权利。有专家以云服务为例,指出第4款查封、 扣押个人信息处理者的设备和物品还会对其他无关客户造成严重影响。另有学者认为如此严厉的措施会对我国企业的国际发展造成很大阻碍,必须设有正当程序的限 制。
第七章 法律责任
关于第六十二条处罚措施,有专家认为62条第二款适用前提 中的违法行为规定太泛泛,惩罚措施又很严厉,而且自由裁量权很大,建议能够具体指出前述哪些违法行为适用升格处罚。还有学者指出第二款的严重处罚比较极 端,更常见的还是适用第一款的一百万以下罚款,自由裁量权很大,同意建议具体第一款的违法行为。
各位学者对第62条5%的罚款规定展开 了讨论,有专家提出中国市场是严格割裂的市场,而且又是高监管的部门,像云服务只能交给合资企业来做,如果5%针对的是全球收入,收入不多,罚款太重,有 失公允,很多学者也认同这条规定的罚款太重。有专家提出5%主要发挥一个震慑作用,一来罚款受限于法定裁量,二来真达到5%的严重程度,直接适用刑罚,未 必真罚款5%。有学者表示同意,我国立法常常是高高举起,轻轻放下。
对于归责原则,有专家认为设立过错推定和无过错责任要面临职业索赔 的压力,适用无过错责任需要考虑到个人信息侵权的性质以及政策考量,适用过错推定责任需要区分敏感信息和非敏感信息、区分不同的个人侵权行为类型来进行判 断。认为第65条“可以减轻或者免除”不妥当,“可以减轻”实际上相当于无过错责任,但个人信息侵权的危险程度又尚未达到此种规制必要,建议删除“可以减 轻”,直接规定过错推定责任。有学者也提出过错推定的情况下,信息处理者也很难证明自己没过错,但赔偿责任又很重。
第八章 附则
关于第六十九条的匿名化和去标识化,有学者提出匿名化的定义问题,到底要求所有人都无法识别还是部分人无法识别即可。有专家顺势提出了医药领域的例子,除医院以外,其他人只能掌握性别、年龄、症状等信息,无法特定到具体自然人,此种情形是否属于去标识化。
有专家首先提出跳出互联网行业的局限,关注到医疗、金融等其他领域的信息化问题。我国匿名化规定“经过处理无法识别特定自然人且不能复原”,个保法草案 所采用的标准比GDPR更严格,而现实中存在虽掌握信息单主观上并不想识别的情况。所以建议提高该款的容纳性,能够将主观动机解释进去,不应当苛责尽到主 观努力并缺少使用动机的主体,如此才能鼓励企业积极合规,实现数据流通使用与数据保护的利益平衡。
有学者从其云服务行业的角度,提出参 考GDPR对于信息拥有者和使用者的区分,有些企业虽然处理存储了大量的用户信息,但实际很难进行保护和控制,个保法应当区分规定不同行业的责任义务。对 此有专家援引个保法草案第69条第一款进行了简单回应,非自主决定的情形不必负担其中规定的义务。
本次研讨会在各位专家学者的热烈讨论中完满结束。
